二次验证必须备份
上周当我看到某个二次验证app推荐的时候才意识到我一直在用的Google Authenticator版本根本无法备份。所以如果我要换手机,我只能一个一个网站进去停掉二次验证,然后重新来。但问题是我得能进入那个网站,所以当我浏览器的cookie已经过期,且我的旧手机不见了或者突然坏掉的时候,那些做了二次验证的账号一点办法都没有,如果当初有留手机或许还能要回来,但如果当时根本没有那个操作,那就彻底完蛋了,而且即便有留手机,也未必可以拿回账号。有些网站有备用码,但是有些却没有。二次验证用好的话的确会更安全,但是一旦丢失二次验证,那比丢手机还要致命。丢失一部手机,里面的所有账号都可以冻结。支付宝微信之类的东西重新登录就可以,只要手机号还在,所有问题都不是问题。但是二次验证的app挂掉了,又没有备份的话,天真的要塌下来。当我从小米4c换成红米Note7的时候,用到二次验证的场合不多,估计不会超过5个,但自从我的网易域名邮箱被黑了以后,可以开二次验证的地方我全部都开了二次验证。那是个长长的清单。
要选择什么样的二次验证app?要以什么方式保存?要怎么备份?对我来说这些都非常重要。一开始我用的是Microsoft Authenticator,但不知道为什么安装的时候会有个提醒说需要Google框架,否则部分功能不能用,显然这个是不可能实现的。在两台手机上同时安装Microsoft Authenticator,不知道为什么老手机就是打不开微软账号的登录页面,这是很要命的,因为所有信息都会跟微软账号关联,登不上的话什么都没有。以前的Microsoft Authenticator没有云备份功能,现在的已经可以实现这个,但是当我打开了云备份以后发现创建时间和更新时间完全是一致的,即便我在创建之后又添加了一些东西进去,不知道是不是那个东西根本不懂得显示更新,所以云备份或许真的是备份了,但是备份了多少内容、那些内容是不是最新的,我要打个问号。与其信任那些放在云端服务器的东西不如信任我自己拿在手上的资源。所以我在老手机上安装了新版的Google Authenticator以及Aegis。之所以选择Aegis,是因为那是一个开源的软件,体积很小,而且每次打开的时候都强制要求必须使用密码、刷脸或者指纹。那个东西的好处是可以从很多地方导入密钥,也可以把已经添加二次验证的密钥导出。导出导入这个操作非常关键,这意味着只要你能找到这个app,只要你的备份文件放好了,那么任何时候换手机都不成问题,你甚至可以把手头上多个设备全部装上Aegis,然后导入同一份密钥。这就等于所有设备都可以成为有效的U盾。因为之前没用过这个东西,所以我同时也安装了新版的Google Authenticator,跟旧版最大的区别在于新版的有导出功能,只要你在旧的上面生成一个二维码,再用新的去扫。已经存在的密钥信息就可以一下子都过去了。这样看上去好像很靠谱,但是万一你的手机突然挂了呢,根本没办法做这个传递的工作。所以最根本的解决办法就是在每个网站开始进行二次验证的时候就把那个二维码保存下来。我直接开了个word,把截图贴进去,把最基本的信息也写进去,好让自己辨别那是什么账号,是什么时候生成的。只要有这个文档,哪怕手上所有二次验证app都失效,我依然可以用新的机器扫码关联通行。二次验证推广的时候都说这很安全,就从来没有人说过要如何备份。
昨天晚上我把9个账号的二次验证重新搞了一遍。在开启的时候三个app都扫了,同时也把那个藏着账号信息二维码截图保存了下来。Microsoft Authenticator可以云同步,当我把账号设置完以后,我就直接把那删掉了,因为那个app很大,经常更新会很麻烦,而且那个东西会自动填写密码,所以会后台驻留。Aegis结束后我把信息导出备份。然后再把Aegis和导出的备份在红米Note7上安装一遍。确定以这样的方式转移是完全可以的。二次验证这个东西本来就是为了在不联网的情况之下也能使用。所以我觉得尽量做到不云端同步反而更好。所以现在我两台设备上都已经安装了有效的二次验证app,同时最根本的账号信息二维码文档也已经妥善保存。
如果某天手机丢掉或者突然宕机,让我最担心的就是这个二步验证,现在我终于可以放下心头大石了。